數(shù)字中國(guó)的場(chǎng)景,在我所工作的環(huán)境里,大概有十幾年,跟數(shù)字化、數(shù)據(jù)化打交道比較多一點(diǎn),第一個(gè)比如數(shù)字政務(wù),我們做互聯(lián)網(wǎng)+政務(wù)的平臺(tái),已經(jīng)上線,現(xiàn)在在內(nèi)測(cè),將會(huì)對(duì)全球推送。第二個(gè)是數(shù)字海南,4月18號(hào)習(xí)大大去海南省的時(shí)候,也有數(shù)字政務(wù)的概念,數(shù)字醫(yī)療、交通、警務(wù)等,我們剛剛承建了朝陽區(qū)的警務(wù)工程,這是數(shù)據(jù)共享的大型的數(shù)據(jù)項(xiàng)目。我們認(rèn)為在“數(shù)字中國(guó)”,未來數(shù)字化會(huì)賦能各行各業(yè)當(dāng)中。第五屆互聯(lián)網(wǎng)大會(huì),我們提出三個(gè)詞,物聯(lián)、數(shù)聯(lián)、眾聯(lián),在數(shù)字時(shí)代中國(guó),萬物互聯(lián)是非常典型的標(biāo)志。
這就是我們整個(gè)運(yùn)營(yíng)體系當(dāng)中,不同節(jié)點(diǎn)的安全能力的使用情況。
主持人:尊敬的各位領(lǐng)導(dǎo),各位來賓,親愛的媒體朋友們,大家上午好,這里是第十三屆中國(guó)IDC產(chǎn)業(yè)年度大典智能運(yùn)維安全論壇,我代表主辦方對(duì)各位嘉賓和領(lǐng)導(dǎo)的光臨表示最熱烈的歡迎和最由衷的感謝,接下來請(qǐng)?jiān)试S我向大家介紹一下出席本次活動(dòng)的領(lǐng)導(dǎo),他們是: PCSA行業(yè)云安全聯(lián)盟副秘書長(zhǎng),太極股份信息安全事業(yè)部總經(jīng)理 郭峰 IBM混合云顧問 黃衛(wèi) 有孚網(wǎng)絡(luò)CTO 臧云峰 中國(guó)民生銀行信息科技部應(yīng)用運(yùn)維二中心負(fù)責(zé)人 畢永軍 中國(guó)建設(shè)銀行北京數(shù)據(jù)中心處長(zhǎng) 郝麗萍 開源網(wǎng)安CSO,安徽區(qū)域Leader 夏天澤 感謝大家的蒞臨!在大數(shù)據(jù)時(shí)代,個(gè)人信息被泄露,被濫用已經(jīng)成為不可回避的問題,安全已經(jīng)成為互聯(lián)網(wǎng)領(lǐng)域永恒的主題,下面讓我們以最熱烈的掌聲有請(qǐng)PCSA行業(yè)云安全聯(lián)盟副秘書長(zhǎng),太極股份信息安全事業(yè)部走經(jīng)理郭峰先生,為我們作信息安全1.0網(wǎng)絡(luò)安全2.0數(shù)字安全3.0——數(shù)字時(shí)代生態(tài)安全之道的分享,有請(qǐng)! 郭峰:大家好,我一看這個(gè)會(huì)場(chǎng)外頭很冷,咱們誰也不能走。我今天路上跟一個(gè)朋友微信聊天,現(xiàn)在大會(huì)論壇好多都是防火防盜防PPP,PPP寫得很好,但是實(shí)際不落地,我今天跟大家談?wù)剶?shù)字安全時(shí)代的安全之道的一個(gè)分享。我是來自于太極股份的,也是PCSA行業(yè)與安全聯(lián)盟的副秘書長(zhǎng)。我今天演講的主題是1.0、2.0、3.0,在數(shù)字時(shí)代生態(tài)安全之道是我們通過兩年的研究和研發(fā)做了一些工作,今天跟大家作一下分享。 我們理解最簡(jiǎn)單的概念就是“數(shù)字中國(guó)”,數(shù)字中國(guó)的場(chǎng)景,從我所工作的環(huán)境大概有十幾年,跟數(shù)字化,數(shù)據(jù)化打交道比較多一點(diǎn),像數(shù)字政務(wù),我們做互聯(lián)網(wǎng)+政務(wù)的平臺(tái),已經(jīng)上線,在內(nèi)測(cè),將會(huì)對(duì)全球推送。第二個(gè)是數(shù)字海南,4月18號(hào)習(xí)大大去海南省的時(shí)候,也有數(shù)字政務(wù)的概念。數(shù)字醫(yī)療,交通,警務(wù),我們剛剛承建了朝陽區(qū)的警務(wù)工程,這是數(shù)據(jù)共享的大型的數(shù)據(jù)項(xiàng)目。我們認(rèn)為在“數(shù)字中國(guó)”,未來數(shù)字化會(huì)賦能各行各業(yè)當(dāng)中。第五屆互聯(lián)網(wǎng)大會(huì),我們提出三個(gè)詞,物聯(lián),數(shù)聯(lián),眾聯(lián),在數(shù)字時(shí)代中國(guó)的時(shí)候,萬物互聯(lián)是非常典型的標(biāo)志。 我們看到很多宣傳片,所理解的是萬云時(shí)代的概念,我服務(wù)的群體看到的所有云,寫的所有方案必須是有云的方案,沒有云的方案基本上不可能的,但是很多客戶還在傳統(tǒng)的環(huán)境當(dāng)中,包括用行業(yè)云,公務(wù)云,政務(wù)云,待會(huì)兒黃衛(wèi)老師也會(huì)講到混合云的場(chǎng)景,我們面向的對(duì)象基本上都是混合云的場(chǎng)景。 我做了一張圖,是我們聯(lián)盟的圖,我們?cè)O(shè)計(jì)的時(shí)候,數(shù)字社會(huì)當(dāng)中的安全就像地球上的物理社會(huì)和網(wǎng)絡(luò)空間社會(huì)一樣,來自于關(guān)鍵基礎(chǔ)設(shè)施,重要信息系統(tǒng),重要的公共服務(wù),在這樣的空間間如何能夠具有層次化,體系化,模塊化,清晰化的去做信息安全保障的建設(shè),這是非常重要,而且具有挑戰(zhàn)的一個(gè)問題。 我們看我們所經(jīng)歷的時(shí)代,在整個(gè)信息化發(fā)展的過程中,其實(shí)從主機(jī)時(shí)代到網(wǎng)絡(luò)時(shí)代,到互聯(lián)網(wǎng)時(shí)代,到現(xiàn)在的智能時(shí)代,在我們整個(gè)發(fā)展的過程中,我們?cè)谥鳈C(jī)時(shí)代基本上以主機(jī)安全為核心,到網(wǎng)絡(luò)時(shí)代以信息安全1.0為特征,2.0的特征就是剛需+合規(guī),3.0的特征已經(jīng)步入了聚合生態(tài)和平臺(tái)這樣一個(gè)非常典型的特征。 Gartner在2018年發(fā)布的報(bào)告中,Digital Security,在這個(gè)概念中把數(shù)字時(shí)代的數(shù)字安全講出來了,在國(guó)內(nèi)我們正在跟工信部做調(diào)研,還沒有出現(xiàn)這個(gè)數(shù)字安全的概念,當(dāng)時(shí)在2015年、2016年的時(shí)候,我們面臨著最大的困惑是什么呢?就是沒有真正的信息安全保障體系的整體解決方案。我印象非常深,當(dāng)時(shí)國(guó)內(nèi)最大的測(cè)評(píng)機(jī)構(gòu),我們?cè)谝粋€(gè)論壇上聊天,他們所測(cè)試的云平臺(tái)基本上是不合規(guī)的,當(dāng)時(shí)我們所服務(wù)的黨政機(jī)關(guān),包括行業(yè)用戶的安全體系,基本上是不健全的。 我們一直在探討數(shù)字時(shí)代的生態(tài)安全之道這個(gè)理念,當(dāng)時(shí)發(fā)起了這樣的活動(dòng),當(dāng)時(shí)講的私有云環(huán)境,2014年更多講的是公有云,發(fā)起這個(gè)活動(dòng)之后我們成立了這個(gè)致力于云安全的標(biāo)準(zhǔn)化技術(shù)研究,為提供安全咨詢和安全保障,有兩個(gè)重點(diǎn)實(shí)驗(yàn)室,這兩個(gè)實(shí)驗(yàn)室就是行業(yè)云和政務(wù)云的雛形。當(dāng)時(shí)在以阿里云為代表的,我們做完測(cè)評(píng)之后發(fā)現(xiàn)并沒有達(dá)到云上安全,當(dāng)時(shí)成立理事會(huì)的時(shí)候,我們把聯(lián)合當(dāng)中以集成商為代表的,以用戶為代表的,以做云上安全的其他方面的同事一塊兒聚合在一起,當(dāng)時(shí)參與的單位有這么多家。 我們?cè)?016年成立了成立大會(huì),通過了專家評(píng)審委員會(huì),把行業(yè)云聯(lián)盟的解決方案做完了。做完以后又定了兩個(gè)專業(yè)的標(biāo)題,就是PCSA兩大平臺(tái),第一大平臺(tái)叫云安全“銀河”云安全的PssS平臺(tái),我們就是做了一件事,把所有安全能力聚合在了PssS平臺(tái)上,這個(gè)PssS平臺(tái)就是在把安全能力變成服務(wù)的轉(zhuǎn)化方式,是三件事,第一是做了資源化化,第二是生態(tài)聚合化,第三是彈性化,我們對(duì)接了廣東政務(wù)云,包括我們國(guó)家的國(guó)信政務(wù)云,北京市的政務(wù)云,還有海南的政務(wù)云等,我們?cè)谲浖x數(shù)據(jù)中心的概念當(dāng)中,大家都知道軟件定義網(wǎng)絡(luò),軟件定義存儲(chǔ),軟件定義環(huán)境,都已經(jīng)實(shí)現(xiàn),但是大家知道國(guó)內(nèi)有多少家安全廠商呢?大概有1400家,總共在國(guó)內(nèi)的安全營(yíng)業(yè)收入不到400億,這個(gè)產(chǎn)業(yè)特別不小,說現(xiàn)在網(wǎng)絡(luò)安全特別火,其實(shí)不是的,國(guó)內(nèi)也很小,在美國(guó)也很小,這個(gè)產(chǎn)業(yè)就變成了什么產(chǎn)業(yè)?每個(gè)公司只能做一個(gè)點(diǎn)的工作,沒有像工業(yè)云公司把軟件定義計(jì)算,軟件定義存儲(chǔ),軟件定義數(shù)據(jù)中心那樣。用一個(gè)安全工具和安全能力,或者安全檢測(cè)的時(shí)候,會(huì)發(fā)現(xiàn)這個(gè)所有的能力其實(shí)不是觸手可及的,在云安全環(huán)境下會(huì)發(fā)現(xiàn)原來裝在公共機(jī)盒的安全根本沒有地方找。原來我們?cè)趥鹘y(tǒng)環(huán)境中看到的政務(wù)云,所有云,行業(yè)云的基礎(chǔ)設(shè)施的安全,已經(jīng)抱著盒子沒有地方去。大家說全國(guó)做了4000朵云,我們調(diào)研其中有很多是僵尸云,沒有場(chǎng)景,其實(shí)是假云。一旦像我們北京政務(wù)云,委辦局全部上云之后最大的風(fēng)險(xiǎn)就是云上租戶的安全,需要的是把安全能力作為資源池化的進(jìn)行調(diào)用,這就是我們看到的非常典型的一個(gè)趨勢(shì)。第二是等級(jí)保護(hù)2.0,中國(guó)的網(wǎng)絡(luò)安全法立法出臺(tái),我們那天跟沈院士溝通的時(shí)候,曾經(jīng)出了這樣一個(gè)事情,我們做網(wǎng)絡(luò)安全的和做食品安全的,和做橋梁隧道工程安全的,最大的區(qū)別是你寫了一個(gè)方案專家敢簽字,不怕?lián)?zé)任,但是做食品安全和建筑安全的,簽完字如果出了問題會(huì)找你。但是網(wǎng)絡(luò)安全立法以后,這種情況專家簽字就要考慮了。所有的公有云,我們最大的公有云在國(guó)內(nèi)可能是阿里和華為為主,還有三大運(yùn)營(yíng)商的公有云,他們提供更多的是平臺(tái)安全,還有是租戶,租戶上去以后,你買了云平臺(tái)以后,租戶安全怎么辦?我提供了大廈,每個(gè)隔斷,每間房子租給了不同的租戶,租戶的安全要自身來考慮,這是兩個(gè)不同的主體。 PCSA在國(guó)家信息中心,太極股份,包括網(wǎng)信辦的支持下,我們做了聚合中國(guó)關(guān)鍵安全能力,我們把安全能力的生態(tài)化,開放化平臺(tái)建立起來,把安全能力資源池化,可調(diào)度化、微服務(wù)化平臺(tái)。容器化的,微服務(wù)化,可調(diào)度化的,叫云安全PaaS平臺(tái),不同的安全場(chǎng)景,就像云上租戶,甚至在傳統(tǒng)計(jì)算環(huán)境當(dāng)中,可以選擇不同的合規(guī)化和個(gè)性化的安全場(chǎng)景,也可以重新定義。不同的安全能力廠商可以通過網(wǎng)絡(luò)與通信,設(shè)備與計(jì)算,應(yīng)用與數(shù)據(jù),信息安全管理與運(yùn)維,重新去登陸。我剛才說已經(jīng)一定要有落地的東西,把這個(gè)防火防火防PPP這件事變成一個(gè)現(xiàn)實(shí)。你的OA,功能交換,網(wǎng)站等等,分別處于公有云,私有云,行業(yè)云等不同的場(chǎng)景。它的場(chǎng)景有的是需要合規(guī),有的是需要個(gè)性化的場(chǎng)景,在整個(gè)安全服務(wù)市場(chǎng)和安全服務(wù)能力當(dāng)中,現(xiàn)在在這個(gè)平臺(tái)上已經(jīng)聚合了國(guó)內(nèi)較為優(yōu)秀的三十多家公司,還有安全的服務(wù)廠商等等,他們把每一個(gè)基礎(chǔ)設(shè)施對(duì)應(yīng)我們國(guó)內(nèi)以合規(guī)為基線的對(duì)應(yīng)場(chǎng)景,一一落在保護(hù)對(duì)象當(dāng)中。由于時(shí)間的關(guān)系,我昨天刪了不少篇幅,這是已經(jīng)應(yīng)用在我們北京市政務(wù)云和剛才說的五朵云上。這里解決了最大的問題,我們把安全能力,軟件化,彈性化,資源池化,調(diào)動(dòng)起來就可以把所有安全能力放在一個(gè)平臺(tái)上,我們搭建全國(guó)的體系。 這就是我們整個(gè)運(yùn)營(yíng)體系當(dāng)中可以看到的不同節(jié)點(diǎn)的安全能力的使用情況。 第二塊,在每一個(gè)數(shù)字中國(guó),數(shù)字政務(wù),交通,警務(wù),在每個(gè)云上場(chǎng)景,需要用新一代的安全管理來管理起來。我們調(diào)研了國(guó)內(nèi)有很多云資源的場(chǎng)景,發(fā)現(xiàn)有一個(gè)巨大的問題,就是云管廠商可以做到資源池的管理,性能管理,包括其他的管理,但是安全管理在國(guó)內(nèi)情況下云平臺(tái),幾乎安全是很微弱的。大家可以看到在我的左手邊,我們用了很多關(guān)鍵的安全工具和能力,把全網(wǎng)的流量,使用的是(克萊),把全網(wǎng)流量收集上來,能然后進(jìn)行協(xié)議的分析,對(duì)我們抓境外組織對(duì)我國(guó)的攻擊非常有效果。像(新能云)是唯一入選Gartner在主機(jī)管理層面的公司,我們做成了企業(yè)級(jí)的信息安全管理的態(tài)勢(shì)感知,行業(yè)級(jí)的態(tài)勢(shì)感知,城市級(jí)的態(tài)勢(shì)感知,只有這三個(gè)做完以后才有可能形成國(guó)家級(jí)的態(tài)勢(shì)感知。大家說這個(gè)態(tài)勢(shì)感知是怎么來的?是習(xí)大大在4.19會(huì)議上對(duì)于網(wǎng)絡(luò)空間設(shè)備上要有感知的能力,所以大家就一窩蜂的去做態(tài)勢(shì)感知了,但是國(guó)內(nèi)的態(tài)勢(shì)感知是沒有標(biāo)準(zhǔn)的,沒有結(jié)合數(shù)字化的場(chǎng)景。 我們自己把安全態(tài)勢(shì)感知做完以后,在我們研究這么久的時(shí)候發(fā)現(xiàn)有一個(gè)最大的問題,沒有人對(duì)自己的保護(hù)對(duì)象最清楚,所以我們做了對(duì)于業(yè)務(wù)的分類和數(shù)據(jù)的分類,其實(shí)真正核心的東西,免備案空間 香港服務(wù)器,網(wǎng)絡(luò)流量,主機(jī)系統(tǒng)安全態(tài)勢(shì),策略行為和用戶行為是最基礎(chǔ)的,可這些安全擴(kuò)展做完以后才有可能把我們的安全技術(shù),運(yùn)維合二為一,能做到的高級(jí)安全分析是在網(wǎng)絡(luò)設(shè)備當(dāng)中的ID和IP,這兩個(gè)做到絕對(duì)的關(guān)聯(lián)和分析。就像我們的身份證,在互聯(lián)網(wǎng)上查到的最核心的東西。所以,業(yè)務(wù)加數(shù)據(jù)經(jīng)營(yíng),整個(gè)安全管理是核心,因?yàn)楸槐Wo(hù)對(duì)象要說明白。 這是我們自己做的,我們非常清晰的知道類似于以官網(wǎng)為核心的業(yè)務(wù)和以ERP為核心的業(yè)務(wù)生產(chǎn),還有以業(yè)務(wù)支撐為核心的人力資源系統(tǒng)和OA系統(tǒng),這些只是舉例,它都是業(yè)務(wù),把每一個(gè)業(yè)務(wù)都進(jìn)行了畫像,我們?cè)?a href="http://www.qzkangyuan.com/cnidc/cio/">互聯(lián)網(wǎng)上做人物的畫像,其實(shí)每一個(gè)軟件系統(tǒng)和數(shù)據(jù)系統(tǒng)就是一個(gè)應(yīng)用,在應(yīng)用過程中把數(shù)據(jù)資產(chǎn)做畫像以后,把業(yè)務(wù)資產(chǎn)做了畫像以后,就可以對(duì)業(yè)務(wù)的權(quán)屬,包括保護(hù)對(duì)象,資產(chǎn),業(yè)務(wù)風(fēng)險(xiǎn)和業(yè)務(wù)策略,業(yè)務(wù)攻擊,包括支撐業(yè)務(wù)的流量,都可以很清晰的顯示出來。 對(duì)于所有的數(shù)據(jù),我們?cè)?jīng)做了一個(gè)試驗(yàn),一萬臺(tái)機(jī),能告訴我有多少是跟數(shù)據(jù)有關(guān)的?我們找到了1000臺(tái)跟數(shù)據(jù)有關(guān)的資產(chǎn),又找到哪個(gè)是最重要的,哪個(gè)是一般的,我們做了流量熱度的測(cè)試。做完之后,在1000臺(tái)主機(jī)中只有不到20臺(tái)機(jī)是最核心的資產(chǎn),我們叫它金條,剩下的數(shù)據(jù)資產(chǎn)其中有80%以上叫一般資產(chǎn),類似于你的自行車,你的一本書。把數(shù)據(jù)也進(jìn)行了畫像,做完畫像以后可以非常清晰的看到這個(gè)數(shù)據(jù)隸屬于誰,誰來運(yùn)行,非常清晰的把每一個(gè)數(shù)據(jù)流量,數(shù)據(jù)的訪問路徑,誰能訪問的權(quán)限都給列出來,把全網(wǎng)的流量抓到。現(xiàn)在好多人做安全管理平臺(tái),要從IDC上去取流量,現(xiàn)在不用了,現(xiàn)在的技術(shù)可以從一種設(shè)備取到所有的流量,從不同的維度取流量是非常辛苦的,而且是沒有效果的工作,我們做了一個(gè)200萬的審計(jì)項(xiàng)目,流量全收上來了嗎?收上來了,有用嗎?沒用,那就是垃圾信息,這些是我們?cè)诎踩\(yùn)行和管理當(dāng)中碰到的問題。 我們看到了支撐業(yè)務(wù)的主機(jī)系統(tǒng),在主機(jī)系統(tǒng)中所有的資產(chǎn),都是裝在六點(diǎn)幾的系統(tǒng)中,在管理一萬臺(tái)主機(jī)的時(shí)候,我在10分鐘之內(nèi)把一萬臺(tái)主機(jī)的資產(chǎn)可以清理完畢,知道所有補(bǔ)丁和版本號(hào)的對(duì)比,現(xiàn)在有很多創(chuàng)新的年輕人,(青藤)這樣的原來就是做游戲的公司,在互聯(lián)網(wǎng)服務(wù)器的時(shí)候發(fā)現(xiàn)這些問題,自己做了一個(gè)產(chǎn)品,我們今天的論壇叫智能運(yùn)維安全,如果連基礎(chǔ)的都沒有做成就做智能運(yùn)維?那是扯。 這些是我們國(guó)外拿回來的,大概有六家公司在做這些產(chǎn)品,就是策略可視化,就是我能訪問你和他能訪問你之間的關(guān)聯(lián)關(guān)系。很簡(jiǎn)單,三句話,A到B點(diǎn),B到C點(diǎn),D到E點(diǎn),是有訪問關(guān)系和訪問路徑的,在這種過程中我能到你們家串門嗎,或者我到他們家串門能路過你們家嗎?這種訪問關(guān)系要說清楚。我們?cè)诿绹?guó)看到的一些產(chǎn)品,把一個(gè)網(wǎng)絡(luò)在安全域當(dāng)中,越大的網(wǎng)越有價(jià)值,能看到所有防火墻和網(wǎng)關(guān)級(jí)產(chǎn)品的策略,我們?cè)谶|寧移動(dòng),包括在工商銀行,都在做測(cè)試和智能運(yùn)維的時(shí)候,這個(gè)東西是相當(dāng)有用的。 最后一塊,我們認(rèn)為最關(guān)鍵的是用戶的總量和特權(quán)用戶,有多少人可以在場(chǎng)景當(dāng)中去活動(dòng),特權(quán)用戶是有多少人具有賬號(hào)。我也曾經(jīng)做過黑客,當(dāng)年的黑客很簡(jiǎn)單,說句實(shí)話,我們跟美國(guó)當(dāng)時(shí)基本上都是用很微弱的工具進(jìn)行溝通,我發(fā)一個(gè)指令過去,要很快的回過來,不像現(xiàn)在,當(dāng)時(shí)做中美攻擊基本上是不可能的,因?yàn)楹苈,F(xiàn)在不一樣了,在這種情況下,如果在整個(gè)空間當(dāng)中,在無邊界的互聯(lián)網(wǎng)疆域中沒有圈定一個(gè)范圍,有多少人在你管轄的網(wǎng)絡(luò)空間范圍內(nèi)去做,包括特權(quán)用戶,如果要去做黑客第一件事情是把特權(quán)用戶賬戶拿到,如果拿不到這個(gè)賬戶,其他所有工作都是圍繞這一件事情,這個(gè)工具是高可持續(xù)性的,大家知道對(duì)特朗普大選的攻擊就是存在的。 未來PCSA聯(lián)盟,我們將把這兩套平臺(tái)分別部署在企業(yè)分中心,行業(yè)分中心和城市級(jí)分中心,服務(wù)對(duì)象是關(guān)鍵信息基礎(chǔ)設(shè)施,運(yùn)營(yíng)場(chǎng)景是私有云,兩地三中心,混合云,云租戶等場(chǎng)景。2016年到2018年,這個(gè)聯(lián)盟做了很多生態(tài)化的事情,有很多人投入進(jìn)來,也做了解決方案還有很多案例,超過了2億以上的合資金額的案例。其實(shí)最核心的東西要有創(chuàng)新的模式,我有一個(gè)朋友做了一個(gè)滲透機(jī)器人,把東西往網(wǎng)絡(luò)上一放,可以找到哪里有漏洞,告訴你弱點(diǎn)在哪里,就像身體檢測(cè)儀一樣。可以做生態(tài)化,變成一種服務(wù),有很多人購(gòu)買。我們希望今天跟IDC圈很多云平臺(tái)做對(duì)接,PCSA聯(lián)盟聚合中國(guó)安全能力的平臺(tái),會(huì)跟每個(gè)云都有對(duì)接的機(jī)會(huì),光做云沒有安全,這個(gè)云不是安全的。 謝謝大家!PCSA愿意與各界生態(tài)伙伴攜手共御數(shù)字時(shí)代安全威脅,謝謝大家!
會(huì)上,PCSA行業(yè)云安全聯(lián)盟副秘書長(zhǎng),太極股份信息安全事業(yè)部總經(jīng)理郭峰先生,為我們作《信息安全1.0 網(wǎng)絡(luò)安全2.0 數(shù)字安全3.0——數(shù)字時(shí)代生態(tài)安全之道》主題演講。以下為演講實(shí)錄(未經(jīng)本人核實(shí)):
我們自己把安全態(tài)勢(shì)感知做完以后,在研究得時(shí)候發(fā)現(xiàn)一個(gè)最大的問題,沒有人對(duì)自己的保護(hù)對(duì)象清楚,所以我們做了對(duì)于業(yè)務(wù)的分類和數(shù)據(jù)的分類,其實(shí)真正核心的東西,如網(wǎng)絡(luò)流量、主機(jī)系統(tǒng)安全態(tài)勢(shì)、策略行為和用戶行為是最基礎(chǔ)的,可這些安全擴(kuò)展做完以后才有可能把我們的安全技術(shù)、運(yùn)維合二為一,能做到的高級(jí)安全分析是在網(wǎng)絡(luò)設(shè)備當(dāng)中的ID和IP,這兩個(gè)要做到絕對(duì)的關(guān)聯(lián)和分析。所以,業(yè)務(wù)加數(shù)據(jù)經(jīng)營(yíng),整個(gè)安全管理是核心,因?yàn)楸槐Wo(hù)對(duì)象要說明白。
我們?cè)?016年成立了大會(huì),通過了專家評(píng)審委員會(huì),把行業(yè)云聯(lián)盟的解決方案做完了。做完以后又定了兩個(gè)專業(yè)的標(biāo)題,就是PCSA兩大平臺(tái),第一大平臺(tái)叫云安全“銀河”的PssS平臺(tái),把所有安全能力聚合在PssS平臺(tái)上,這個(gè)PssS平臺(tái)就是把安全能力變成服務(wù)的轉(zhuǎn)化方式,聚焦于三件事,第一是做了資源化,第二是生態(tài)聚合化,第三是彈性化,美國(guó)站群服務(wù)器 亞洲服務(wù)器,我們對(duì)接了廣東政務(wù)云、國(guó)家的國(guó)信政務(wù)云、北京市政務(wù)云、海南政務(wù)云等。大家都知道軟件定義網(wǎng)絡(luò)、軟件定義存儲(chǔ)、軟件定義環(huán)境,都已經(jīng)實(shí)現(xiàn),但是大家知道國(guó)內(nèi)有多少家安全廠商呢?大概有1400家,總共在國(guó)內(nèi)的安全營(yíng)業(yè)收入不到400億,這個(gè)產(chǎn)業(yè)特別不小,說現(xiàn)在網(wǎng)絡(luò)安全特別火,其實(shí)不是的,國(guó)內(nèi)也很小,在美國(guó)也很小,這個(gè)產(chǎn)業(yè)就變成了什么產(chǎn)業(yè)?每個(gè)公司只能做一個(gè)點(diǎn)的工作,沒有像工業(yè)云公司把軟件定義計(jì)算、軟件定義存儲(chǔ)、軟件定義數(shù)據(jù)中心那樣。用一個(gè)安全工具和安全能力,或者安全檢測(cè)的時(shí)候,會(huì)發(fā)現(xiàn)所有的能力其實(shí)不是觸手可及的,在云安全環(huán)境下會(huì)發(fā)現(xiàn)原來裝在公共機(jī)盒的安全根本沒有地方找。原來在傳統(tǒng)環(huán)境中看到的政務(wù)云、所有云、業(yè)云的基礎(chǔ)設(shè)施的安全,已經(jīng)抱著盒子沒有地方去。大家說全國(guó)做了4000朵云,我們調(diào)研其中有很多是僵尸云,沒有場(chǎng)景,其實(shí)是假云。一旦像北京政務(wù)云、委辦局全部上云之后最大的風(fēng)險(xiǎn)就是云上租戶的安全,需要的是把安全能力作為資源池化進(jìn)行調(diào)用,這就是我們看到的非常典型的一個(gè)趨勢(shì)。
PCSA行業(yè)云安全聯(lián)盟副秘書長(zhǎng),太極股份信息安全事業(yè)部總經(jīng)理郭峰
這些是我們國(guó)外拿回來的,大概有六家公司在做這些產(chǎn)品,就是策略可視化,就是我能訪問你和他能訪問你之間的關(guān)聯(lián)關(guān)系。很簡(jiǎn)單,三句話,A到B點(diǎn),B到C點(diǎn),D到E點(diǎn),是有訪問關(guān)系和訪問路徑的,在這種過程中我能到你們家串門嗎,或者我到他們家串門能路過你們家嗎?這種訪問關(guān)系要說清楚。我們?cè)诿绹?guó)看到的一些產(chǎn)品,把一個(gè)網(wǎng)絡(luò)在安全域當(dāng)中,越大的網(wǎng)越有價(jià)值,能看到所有防火墻和網(wǎng)關(guān)級(jí)產(chǎn)品的策略,我們?cè)谶|寧移動(dòng),包括在工商銀行,都在做測(cè)試和智能運(yùn)維的時(shí)候,這個(gè)東西是相當(dāng)有用的。
PCSA在國(guó)家信息中心、太極股份、包括網(wǎng)信辦的支持下,做了聚合中國(guó)關(guān)鍵安全能力,把安全能力的生態(tài)化、開放化平臺(tái)建立起來,把安全能力資源池化、可調(diào)度化、微服務(wù)化平臺(tái)。容器化的、微服務(wù)化、可調(diào)度化的平臺(tái),叫云安全PaaS平臺(tái),不同的安全場(chǎng)景,就像云上租戶,甚至在傳統(tǒng)計(jì)算環(huán)境當(dāng)中,可以選擇不同的合規(guī)化和個(gè)性化的安全場(chǎng)景,也可以重新定義。不同的安全能力廠商可以通過網(wǎng)絡(luò)與通信、設(shè)備與計(jì)算、應(yīng)用與數(shù)據(jù)、信息安全管理與運(yùn)維,重新去登陸。我剛才說已經(jīng)有落地的東西,把這個(gè)網(wǎng)絡(luò)安全變成一個(gè)現(xiàn)實(shí)。你的OA、功能交換、網(wǎng)站等等,分別處于公有云、私有云、行業(yè)云等不同的場(chǎng)景。它的場(chǎng)景有的是需要合規(guī)、有的是需要個(gè)性化的場(chǎng)景,在整個(gè)安全服務(wù)市場(chǎng)和安全服務(wù)能力當(dāng)中,現(xiàn)在的平臺(tái)上已經(jīng)聚合了國(guó)內(nèi)較為優(yōu)秀的三十多家公司,還有安全的服務(wù)廠商等等,他們把每一個(gè)基礎(chǔ)設(shè)施對(duì)應(yīng)我們國(guó)內(nèi)以合規(guī)為基線的對(duì)應(yīng)場(chǎng)景,一一落在保護(hù)對(duì)象當(dāng)中。我們把安全能力、軟件化、彈性化、資源池化,調(diào)動(dòng)起來就可以把所有安全能力放在一個(gè)平臺(tái)上。
Gartner在2018年發(fā)布的報(bào)告中,提出Digital Security,這個(gè)概念把數(shù)字時(shí)代的數(shù)字安全講出來了,在國(guó)內(nèi)我們正在跟工信部做調(diào)研,還沒有出現(xiàn)這個(gè)數(shù)字安全的概念,當(dāng)時(shí)在2015年、2016年的時(shí)候,我們面臨著最大的困惑是什么呢?就是沒有真正的信息安全保障體系的整體解決方案。當(dāng)時(shí)國(guó)內(nèi)最大的測(cè)評(píng)機(jī)構(gòu),他們所測(cè)試的云平臺(tái)基本上是不合規(guī)的,當(dāng)時(shí)我們所服務(wù)的黨政機(jī)關(guān),包括行業(yè)用戶的安全體系,基本上也是不健全的。
大家好,今天跟大家談?wù)剶?shù)字安全時(shí)代安全之道的一個(gè)分享。我是來自于太極股份的,也是PCSA行業(yè)與安全聯(lián)盟的副秘書長(zhǎng)。我今天演講的主題是1.0、2.0、3.0,在數(shù)字時(shí)代生態(tài)安全之道是我們通過兩年的研究和研發(fā)做了一些工作,今天跟大家作一下分享。
最后一塊,我們認(rèn)為最關(guān)鍵的是用戶的總量和特權(quán)用戶,有多少人可以在場(chǎng)景當(dāng)中去活動(dòng),特權(quán)用戶是有多少人具有賬號(hào)。我也曾經(jīng)做過黑客,當(dāng)年的黑客很簡(jiǎn)單,說句實(shí)話,我們跟美國(guó)當(dāng)時(shí)基本上都是用很微弱的工具進(jìn)行溝通,我發(fā)一個(gè)指令過去,要很快的回過來,不像現(xiàn)在,當(dāng)時(shí)做中美攻擊基本上是不可能的,因?yàn)楹苈,F(xiàn)在不一樣了,在這種情況下,如果在整個(gè)空間當(dāng)中,在無邊界的互聯(lián)網(wǎng)疆域中沒有圈定一個(gè)范圍,有多少人在你管轄的網(wǎng)絡(luò)空間范圍內(nèi)去做,包括特權(quán)用戶,如果要去做黑客第一件事情是把特權(quán)用戶賬戶拿到,如果拿不到這個(gè)賬戶,其他所有工作都是圍繞這一件事情,這個(gè)工具是高可持續(xù)性的。
未來PCSA聯(lián)盟,我們將把這兩套平臺(tái)分別部署在企業(yè)分中心,行業(yè)分中心和城市級(jí)分中心,服務(wù)對(duì)象是關(guān)鍵信息基礎(chǔ)設(shè)施,運(yùn)營(yíng)場(chǎng)景是私有云、兩地三中心、混合云、云租戶等場(chǎng)景。2016年到2018年,聯(lián)盟做了很多生態(tài)化的事情,有很多人投入進(jìn)來,也做了解決方案,還有很多案例,超過了2億以上的合資金額的案例。其實(shí)最核心的東西要有創(chuàng)新的模式,可以做生態(tài)化,變成一種服務(wù),有很多人購(gòu)買。我們希望今天跟IDC圈很多云平臺(tái)做對(duì)接,PCSA聯(lián)盟聚合中國(guó)安全能力的平臺(tái),會(huì)跟每個(gè)云都有對(duì)接的機(jī)會(huì),光做云沒有安全,這個(gè)云不是安全的。
